网络安全解决方案建议书.pdfVIP

{安全生产管理}网络安全 解决方案建议书 JuniperISG2000 网 络 安 全 解 决 方案建议书 美国Juniper 网络公司 目录 1 前言 3 1.1 范围定义3 1.2 参考标准 3 2 系统脆弱性和风险分析4 2.1 网络边界脆弱性和风险分析4 2.2 网络内部脆弱性和风险分析4 3 系统安全需求分析5 3.1 边界访问控制安全需求 5 3.2 应用层攻击和蠕虫的检测和阻断需求 7 3.3 安全管理需求 8 4 系统安全解决方案9 4.1 设计目标 9 4.2 设计原则 9 4.3 安全产品的选型原则 10 4.4 整体安全解决方案 11 4.4.1 访问控制解决方案 11 4.4.2 防拒绝服务攻击解决方案 13 4.4.3 应用层防护解决方案 18 4.4.4 安全管理解决方案 21 5 方案中配置安全产品简介 22 5.1JUNIPER 公司介绍 22 5.2JUNIPER ISG2000 系列安全网关25 1 前言 1.1 范围定义 本文针对的是 XXX 网络的信息安全问题，从对象层次上讲，它比较全面地囊括了 从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上与 信息安全风险有关的因素都应在考虑范围内，但为了抓住重点，体现主要矛盾， 在本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲，本文覆盖 了管理和技术两大方面，其中安全管理体系包括策略体系、组织体系和运作体系。 就 XXX 的实际需要，本次方案将分别从管理和技术两个环节分别给出相应的解决 方案。 1.2 参考标准 XXX 属于一个典型的行业网络，必须遵循行业相关的保密标准，同时，为了保证 各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统一 标准，我们在设计 XXX 的网络安全解决方案的时候，主要参考的标准如下：  NASIATF3.1 美国国防部信息保障技术框架 v3.1  ISO15408/GB/T18336 信息技术安全技术信息技术安全性评估准则，第一部分 简介和一般模型  ISO15408/GB/T18336 信息技术安全技术信息技术安全性评估准则，第二部分 安全功能要求  ISO15408/GB/T18336 信息技术安全技术信息技术安全性评估准则，第三部分 安全保证要求  加拿大信息安全技术指南,1997  ISO17799 第 一 部 分 , 信 息 安 全 管 理 CodeofPracticeforInformationSecurityManagement  GB/T18019-1999 包过滤防火墙安全技术要求；  GB/T18020-1999 应用级防火墙安全技术要求；  国家973 信息与网络安全体系研究 G801 课题组 IATF 《信息技术保障技术框 架》。 2 系统脆弱性和风险分析 2.1 网络边界脆弱性和风险分析 网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相 连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将 对 XXX 网络就网络边界问题做脆弱性和风险的分析。 XXX 的网络主要存在的边界安全风险包括：  XXX 网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和 计算机病毒的入侵；例如一个不满的内部用户，利用盗版软件或从 Internet 下 载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪；  内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或 者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误 操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。 2.2 网络内部脆弱性和风险分析 XXX 内部网络的风险分析主要针对XXX 的整个内网的安全风险，主要表现为以下 几个方面：  内部用户的非授权访问；XXX 内部的资源也不是对任何的员工都开放 的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重 要信息的泄漏。  内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对 于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施， 极容易给服务系统和其他主机造成危害。  内部用户的恶意攻击；就网络安全来说，据统计约有70％左右的攻击 来